विषय पर बढ़ें

नेटिव Sigma समर्थन

Suzaku में Sigma विनिर्देश के लिए बहुत अच्छा नेटिव समर्थन है और यह expand को छोड़कर सभी फ़ील्ड मॉडिफायर का समर्थन करता है, जिसके लिए कुछ पूर्व-कॉन्फ़िगरेशन की आवश्यकता होती है।

संस्करण 1.0.0 से, Suzaku correlation नियमों का भी समर्थन करता है जो क्लाउड लॉग में हमलों का पता लगाने के लिए महत्वपूर्ण हैं।

नोट: वर्तमान में, आपको correlation नियमों को एकल फ़ाइलों में बनाने की आवश्यकता है।

इवेंट गणना नियम

ये ऐसे नियम हैं जो कुछ इवेंट्स की गणना करते हैं और चेतावनी देते हैं यदि एक समय-सीमा के भीतर इनमें से बहुत अधिक या बहुत कम संख्या में इवेंट होते हैं। एक निश्चित समयावधि के भीतर कई इवेंट्स का पता लगाने के सामान्य उदाहरण पासवर्ड अनुमान लगाने वाले हमलों, पासवर्ड स्प्रे हमलों और डिनायल ऑफ़ सर्विस हमलों का पता लगाने के लिए हैं। आप इन नियमों का उपयोग लॉग स्रोत विश्वसनीयता संबंधी समस्याओं का पता लगाने के लिए भी कर सकते हैं, जैसे कि जब कुछ इवेंट एक निश्चित सीमा से नीचे आ जाते हैं।

इवेंट गणना नियम उदाहरण

title: Correlation Test
id: 49d15187-4203-4e11-8acd-8736f25b6609
status: test
author: TEST
correlation:
    type: event_count
    rules:
        - Console Login With MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 3
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login With MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'Yes'
    condition: selection
level: informational

मान गणना नियम

ये नियम किसी दिए गए फ़ील्ड के अलग-अलग मानों के साथ एक समय-सीमा के भीतर समान इवेंट्स की गणना करते हैं।

उदाहरण: - नेटवर्क स्कैन जहां एक एकल स्रोत IP पता कई अलग-अलग गंतव्य IP पतों और/या पोर्ट्स से कनेक्ट करने का प्रयास करता है। - पासवर्ड स्प्रेइंग हमले जहां एक एकल स्रोत कई अलग-अलग उपयोगकर्ताओं के साथ प्रमाणीकरण करने में विफल रहता है। - BloodHound जैसे टूल का पता लगाएं जो कम समय-सीमा के भीतर कई उच्च-विशेषाधिकार वाले AD समूहों की गणना करते हैं।

मान गणना नियम उदाहरण

title: Correlation value_count Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: value_count
    rules:
        - Console Login Without MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 2
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login Without MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium

टेम्पोरल प्रॉक्सिमिटी नियम

rule फ़ील्ड द्वारा संदर्भित नियमों द्वारा परिभाषित सभी इवेंट्स को timespan द्वारा परिभाषित समय-सीमा में होना चाहिए। group-by में परिभाषित फ़ील्ड के मानों का एक ही मान होना चाहिए (उदा: समान होस्ट, उपयोगकर्ता, आदि...)।

एक उदाहरण है तीन Sigma नियमों में परिभाषित टोही API कॉल जो समान स्रोत IP पते से 5 मिनट के भीतर मनमाने क्रम में आह्वानित होते हैं।

टेम्पोरल प्रॉक्सिमिटी नियम उदाहरण

title: Correlation temporal Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal
    rules:
        - CloudTrail Log Settings Modified
        - Console Login Without MFA
        - Role Enumeration
    timespan: 3d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low

टेम्पोरल ऑर्डर्ड नियम

temporal_ordered correlation प्रकार temporal की तरह व्यवहार करता है और इसके अतिरिक्त यह आवश्यक करता है कि इवेंट्स rules विशेषता में प्रदान किए गए क्रम में दिखाई दें।

एक उदाहरण है कई विफल लॉगिन के बाद एक सफल लॉगिन।

टेम्पोरल ऑर्डर्ड नियम उदाहरण

title: Correlation temporal_ordered Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal_ordered
    rules:
        - Console Login Without MFA
        - Role Enumeration
        - CloudTrail Log Settings Modified
    timespan: 1d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low